01. IAM (Identity and Access Management)

💡 본 게시글은 Stephane Maarek님의 유데미(Udemy) 강의 【한글자막】 AWS Certified Developer Associate 시험 합격을 위한 모든 것! 에 대해 공부하고, 정리한 내용입니다.

---

01. IAM (Identity and Access Management)

1 장. IAM 소개(사용자, 그룹, 정책)

1 ) IAM의 역할

• 사용자(권한) 생성 및 그룹 배치를 할 수 있는 중앙 집중식 매커니즘 (글로벌 서비스)

2) 루트 계정

• 계정 생성 시, 기본적으로 루트 계정 생성
• But. 보안 상의 이유로 사용/공유 금지

3) 사용자

• 하나의 사용자는 조직 내의 한사람에 해당.
• 그룹 내 사용자들을 AWS 리소스에 접근 및 설정 할 수 있음.

4) 그룹

• 사용자를 그룹으로 묶어서 관리할 수 있음.
• 그룹에는 오직 사용자만 배치할 수 있음.
• 그룹은 다른 그룹을 포함할수 없음.
• But. 오직 사용자만 다른 그룹에 포함가능.

5) 사용자와 그룹의 관계

• 사용자는 그룹에 소속되지 않을 수도 있음.
• 하나의 사용자는 여러 그룹에 소속될 수 있음.
  ⇒ 그렇다면 왜 사용자와 그룹을 생성하는 걸까? AWS 계정을 사용하도록 허용하기 위함.

6) IAM 정책이란?

• 사용자나 그룹의 권한을 할당할 수 있는 JSON 문서
• 특정 사용자, 특정 그룹에 속한 모든 사용자들이 어떤 작업에 권한을 가지고 있는지 설명해놓은 문서
• 이 문서를 통해 AWS 리소스에 대한 접근 권한을 정의 및 관리를 할 수 있음.
• 사용자에게 필요 이상의 권한을 부여하면 안됌. → 보안 위험 및 비용의 문제 발생.

---

2장. IAM 정책

1) 권한 정책

• 그룹 정책 : 그룹에 할당된 정책은 모든 그룹 구성원에게 적용되며 정책의 상속이 가능.
• 사용자 정책 : 개별 사용자에게도 정책(인라인 정책) 을 직접 할당할 수 있음.
• 정책 타입 : 정책은 '인라인 정책'과 '관리형 정책'으로 나뉩니다. 인라인 정책은 개별 IAM 사용자나 그룹에 직접 할당되며, 관리형 정책은 여러 사용자나 그룹에 재사용 가능합니다.
• 정책 규칙 : 각 정책 내에서 특정 AWS 서비스 및 작업에 대한 권한(허용 또는 거부)이 정의됩니다. 이는 정책 문서 내에서 구체적인 '행위(Action)'와 '리소스(Resource)'를 지정하여 구현됩니다.
• 최소 권한 원칙 : 사용자나 그룹에 필요한 최한의 권한만을 부여하여, 보안을 강화하고 불필요한 리소스 접근을 방지합니다.
• 정책의 상속과 결합 : 사용자는 그룹 정책과 개인적으로 할당된 정책 모두의 권한을 가지게 됩니다. 이 때, 여러 정책이 결합될 경우, 거부(Deny) 규칙이 허용(Allow) 규칙보다 우선 적용됩니다.

2) IAM 정책 구조

(1) IAM 정책 구조

• 버전 (Version) : 정책 언어의 버전 ( 예 : "2012-10-17" )
• 식별자 (ID) : 정책의 고유 아이디 (선택 요소)
• 문 (Statement) : 하나 이상의 규칙을 포함. (필수 요소)

(2) 정책 문 내용 (separc) - separc

• 문 식별자 (Sid) : 각 문의 고유 식별자 (선택 요소)
• 효과 (Effect) : 권한을 허용(Allow) 또는 거부(beny)
• 주체 (Principal) : 정책이 적용되는 계정/사용자/역할
• 행위 (Action) : 허용 또는 거부되는 작업 목록
• 리소스 (Resource) : 해당 행위가 적용되는 리소스 목록
• 조건 (Condition) : 정책이 적용되는 조건 (선택 요소)

---

3장. IAM MFA 개요

1 ) IAM 방어 메커니즘
(1) 비밀번호 정책의 정의
(2) 다요소 인증(MFA)

2) IAM 비밀번호 정책
(1) 강력한 비밀번호 설정으로 계정 보안 강화
(2) 최소 비밀번호 길이 설정 가능
(3) 다음 문자 유형 필수화

• 대문자
• 소문자
• 숫자
• 특수 문자

(4) IAM 사용자에게 자신의 비밀번호 변경 허용
(5) 사용자가 정기적으로 비밀번호 변경하도록 요구 (비밀번호 만료)
(6) 비밀번호 재사용 방지

3) 다중 인증 (MFA)

• 계정에 접근할 수 있는 사용자들이 설정 변경이나 AWS 리소스 삭제를 할 수 있으므로, 루트 계정과 IAM 사용자를 보호하기 위해 필요.
• MFA는 '알고 있는 비밀번호'와 '소유하고 있는 보안 장치'의 조합을 요구함으로써 로그인 과정에 추가적인 보안층을 추가합니다. - 2차 인증 개념
• MFA의 주된 이점은 비밀번호가 도난당하거나 해킹당해도 계정이 타인에 의해 쉽게 침해당하지 않도록 합니다.

4) AWS의 MFA(다중 인증) 기기 옵션
(1) 가상 MFA 기기

• 예: Google Authenticator는 휴대폰에 코드를 생성합니다.
• 예: Authy는 여러 기기에서 사용 가능합니다.
• 하나의 기기에서 다수의 토큰 지원.

(2) U2F(유니버설 2차 인증) 보안 키

• 예: YubiKey by Yubico (제3자 제공).
• 하나의 보안 키를 사용해 여러 루트 및 IAM 사용자 지원

(3) 하드웨어 키 Fob MFA 기기

• Gemalto(제3자 제공업체)에서 제공하는 휴대용 기기.

(4) 하드웨어 키 Fob MFA 기기 for AWS GovCloud(US)

• SurePassID(제3자 제공업체)에서 제공하는, 미국 정부 전용 클라우드 서비스인 AWS GovCloud(US)용 휴대용 기기.

2. CLI (Command-Line Interface)
   1장. AWS 액세스 키, CLI 및 SDK
   1) AWS에 접속하는 방법

• AWS Management Console : 비밀번호 + MFA로 보호
• AWS 명령줄 인터페이스(CLI) : 액세스 키로 보호
• AWS 소프트웨어 개발자 키트(SDK) : api 호출 시, 액세스 키로 보호

2) 액세스 키 생성 방법

• Access Keys는 AWS 관리 콘솔을 통해 생성.

3) 액세스 키 관리 방법

• 사용자들이 자신들의 액세스 키를 직접 관리.
• 액세스 키는 비밀번호처럼 비밀입니다. 공유하지 마십시오.
• Access Key ID ~= username
• Secret Access Key ~= password

4) AWS CLI (Command Line Interface) 란?

• AWS CLI: Command-line shell에서 명령어를 사용하여 AWS 서비스들과 상호작용할 수 있도록 하는 도구.
• AWS CLI를 사용하면 AWS의 공용 API로 직접 액세스 가능.
• AWS CLI를 통해 리소스를 관리하는 스크립트를 개발해 일부 작업을 자동화할 수 있음.
• AWS CLI는 오픈소스로서, 깃허브애서 모든 소스코드를 확인할 수 있음.
• AWS 관리 Console 대신 사용되기도 함.

5) AWS SDK (Software Development Kit) 란?

• 특정 언어로 된 라이브러리의 집합. 따라서 프로그래밍 언어에 따라 개별 SDK가 있음.
• AWS SDK를 사용하면 AWS의 서비스나 API에 프로그래밍을 위한 액세스 가능.
• SDK는 터미널 내에서 사용하는 것이 아닌 코딩을 통해 애플리케이션 내에 심어두는 것. 즉, 애플리케이션 내에 자체적으로 AWS SDK가 있는 것.
• 다양한 프로그래밍 언어 지원 (JavaScript, Python, PHP, NET, Ruby, Java, Go, Node.js, C++)
• 모바일 SDK, IoT Device SDK 지원.
• 예: AWS CLI는 사실상 Boto라는 Python용 AWS SDK에 구축되어 있음.

---

04. IAM Role

1장. AWS 서비스에 대한 IAM 역할

1 ) IAM 서비스란?

• AWS 서비스들은 사용자를 대신하여 특정 작업을 수행하기 위해 권한이 필요합니다.
• 이를 위해 AWS 서비스에 IAM 역할을 할당하여 필요한 권한을 부여합니다.
• IAM 역할은 실제 사용자와 유사하지만 AWS 서비스가 사용하는 것입니다.
• EC2 인스턴스 역할: EC2 인스턴스(가상 서버)에 부여되어 AWS 리소스에 접근할 수 있게 합니다.
• Lambda 함수 역할: AWS Lambda 함수가 다른 AWS 서비스에 접근할 수 있게 합니다.
• CloudFormation 역할: AWS CloudFormation이 AWS 리소스를 생성하고 관리할 수 있게 합니다.

2장. IAM 보안 도구

1) IAM 보안 도구
(1) IAM 자격 증명 보고서 (계정 수준)

• 계정의 모든 사용자와 그들의 다양한 자격 증명 상태를 나열하는 보고서입니다.

(2) IAM 액세스 어드바이저 (사용자 수준)

• 사용자에게 부여된 서비스 권한과 그 서비스들이 마지막으로 접근된 시점을 보여줍니다.
• 마지막으로 접속한 시간 정보를 통해서 많이 사용하지 않는 권한을 확인할 수 있습니다.
• 이 정보를 사용하여 정책을 수정할 수 있습니다. (최소 권한 원칙에 도움됨.)

3장. IAM 모범 사례

1) IAM 지침 및 모범 사례

• 루트 계정은 AWS 계정 설정을 제외하고는 사용하지 마세요.
• 한 사람의 사용자에게 하나의 AWS 사용자를 매핑하세요.
• 사용자를 그룹에 할당하고 그룹에 권한을 부여하세요.
• 강력한 비밀번호 정책을 만들고 시행하세요.
• 다중 인증 요소(MFA) 사용을 시행하세요.
• AWS 서비스에 권한을 부여하기 위해 역할을 생성하고 사용하세요.
• 프로그래밍 방식 접근(CLI/SDK)에는 액세스 키를 사용하세요.
• IAM 자격 증명 보고서를 통해 계정의 권한을 감사하세요.
• IAM 사용자와 액세스 키를 공유하지 마세요.

4장. IAM의 공동 책임 모델

1) AWS IAM의 공유 책임 모델
(1) AWS의 책임

• 인프라 (글로벌 네트워크 보안)
• 구성 및 취약점 분석
• 준수 검증

(2) 사용자의 책임

• 사용자, 그룹, 역할, 정책 관리 및 모니터링
• 모든 계정에 MFA 활성화
• 주기적으로 키 교체
• IAM 도구를 사용하여 적절한 권한 적용
• 접근 패턴 분석 및 권한 검토

---

※ IAM 섹션 요약정리

• 사용자 : 실제 사용자에 매핑되며, AWS 콘솔용 비밀번호가 있습니다.
• 그룹 : 사용자만 포함합니다.
• 정책 : 사용자나 그룹에 대한 권한을 정의하는 JSON 문서입니다.
• 역할 : EC2 인스턴스나 AWS 서비스에 사용됩니다.
• 보안 : 다중 인증 요소(MFA)와 강력한 비밀번호 정책을 사용합니다.
• AWS CLI : 명령줄을 통해 AWS 서비스를 관리합니다.
• AWS SDK : 프로그래밍 언어를 사용하여 AWS 서비스를 관리합니다.
• 액세스 키 : CLI나 SDK를 사용하여 AWS에 접근합니다.
• 감사 : IAM 자격 증명 보고서와 IAM 액세스 어드바이저를 사용합니다.